Commission nationale de l informatique et des libertés

Documents pareils
FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Commission nationale de l informatique et des libertés

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

«Marketing /site web et la protection des données à caractère personnel»

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Sur les informations traitées

COMMUNICATION POLITIQUE ObligationS légales

GUIDE LA PUB SI JE VEUX!

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Les fiches déontologiques Multicanal

CODE PROFESSIONNEL. déontologie

REGLEMENT DE LA LOTERIE ENERGIE

Charte s Code relatif à la traçabilité de l adresse électronique en collecte directe et indirecte

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

JE MONTE UN SITE INTERNET

CHARTE INFORMATIQUE LGL

REGLEMENT COMPLET Jeu «Gagnez un séjour Thalasso» Du 31 mars au 24 mai 2014

Article 1. Enregistrement d un nom de domaine

Offre spéciale en partenariat avec ABC Bourse

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

LES GUIDES DE LA CNIL HALTE AUX PUBLICITÉS EDITION JANVIER 2005 COMMISSION NATIONALE DE L INFORMATIQUE

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

VIE PRIVEE CIRCUS BELGIUM

Le Traitement des Données Personnelles au sein d une Association

Cadre juridique de la Protection des Données à caractère Personnel

Être plus proche, mais pas à n importe quel prix

Règlement d INTERPOL sur le traitement des données

Conditions générales d utilisation

REGLEMENT DU JEU «JEU GROUPAMA ASSURANCE HABITATION ETUDIANT 100% MOBILE»

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

REGLEMENT DU JEU LE PLIAGE GALLERY

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

(Document adopté par la Commission le 19 janvier 2006)

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Les données à caractère personnel

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

Règlement du jeu Mobilis- OPT «Concours de selfies - Les Portraits suspects»

SAXO BANque. Offre spéciale TalenTs du Trading INSTRUCTIONS POUR REMPLIR CE FORMULAIRE

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

Toute utilisation du site doit respecter les présentes conditions d utilisation.

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

1. Types de jeux concours par SMS et légalité

REGLEMENT GENERAL DU JEU EUROPE 1 SMS AUDIOTEL 2013/2014

d autre part, par toutes personnes physique ou morale souhaitant procéder à un achat via le site

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Conditions d'utilisation de la plateforme Défi papiers

Article 1 : Société organisatrice Article 2 : Acceptation Article 3 : Nature de l opération Article 4 : Modalités de participation

CHARTE SUR LA PUBLICITE CIBLEE ET LA PROTECTION DES INTERNAUTES

1. L ENTREPRISE 2. CARACTERISTIQUES ET DEROULEMENT DE LA PRESTATION CHARTE QUALITE 2.1. DEMARCHE VOLONTAIRE 2.2. REALISATION DE L AUDIT

Règlement du jeu concours avec obligation d achat «JEU CONCOURS ANGEL»

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ ADMINISTRATION. Commission nationale de l informatique et des libertés

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

Règlement du jeu-concours gratuit sans obligation d achat «Mon Coach Corps»

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Cahier des Clauses Administratives Particulières

COURRIER ELECTRONIQUE : LES REGLES DE L'OPT-IN

Avis n 1 du Conseil national du numérique relatif au projet d ordonnance relatif aux communications électroniques

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

La simplification du dossier de candidature

Directive cadre du groupe. Protection des données des clients et des partenaires.

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

b) Et. Domicilié, éventuellement représenté par., ci-après dénommé «le Courtier», de seconde part,

REGLEMENT DU JEU. "1 an de Complémentaire Santé à GAGNER"

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Commission nationale de l informatique et des libertés

APPEL A PROPOSITION ACTIONS COLLECTIVES

Politique de Sage en matière de protection de la vie privée sur le site

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

Code de conduite Zoomit

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

Décrets, arrêtés, circulaires

et développement d applications informatiques

CONDITONS GENERALES D UTILISATION

Charte d hébergement de site web

CONDITIONS GENERALES PRESTATIONS DE SERVICES

CHARTE DE GESTION DES COOKIES

MINISTÈRE DU TRAVAIL, DE L EMPLOI, DE LA FORMATION PROFESSIONNELLE ET DU DIALOGUE SOCIAL CONVENTIONS COLLECTIVES

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

41,29 euros par mois et par adhérent* par mois et par adhérent* 59,87 euros par mois et par adhérent* par mois et par adhérent*

Transcription:

Commission nationale de l informatique et des libertés Délibération n o 2013-213 du 11 juillet 2013 portant création d une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d assurance, de capitalisation, de réassurance, d assistance et par les intermédiaires d assurance (norme simplifiée n o 56) NOR : CNIX1320603X La Commission nationale de l informatique et des libertés, Vu la convention n o 108 du Conseil de l Europe du 28 janvier 1981 pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel ; Vu la directive n o 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code de la consommation, et notamment ses articles L. 121-20-5 et L. 134-2 ; Vu le code des postes et des communications électroniques, et notamment son article L. 34-5 ; Vu le code rural ; Vu la loi n o 78-17 du 6 janvier 1978 modifiée relative à l informatique, aux fichiers et aux libertés, notamment son article 24 ; Vu la loi n o 2004-575 du 21 juin 2004 pour la confiance dans l économie numérique ; Vu l ordonnance n o 2011-1012 du 24 août 2011 relative aux communications électroniques ; Vu le décret n o 2005-1309 du 20 octobre 2005 modifié pris pour l application de la loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés ; Après avoir entendu M. Jean-Paul AMOUDRY, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : En vertu de l article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l informatique et des libertés est habilitée à établir des normes destinées à simplifier l obligation de déclaration des traitements les plus courants et dont la mise en œuvre n est pas susceptible de porter atteinte à la vie privée ou aux libertés. Les traitements informatisés relatifs à la gestion commerciale de clients et de prospects sont de ceux qui peuvent, à condition de respecter les garanties mentionnées ci-après, relever de cette définition. Cette norme permet aux responsables des traitements mis en œuvre par les organismes d assurance, de capitalisation, de réassurance, d assistance et par les intermédiaires d assurances d effectuer une déclaration simplifiée, dans les conditions qu elle précise, pour les traitements relatifs à la gestion commerciale de clients et de prospects. La norme simplifiée n o 56 a été adoptée le 11 juillet 2013. Décide : Art. 1 er. Peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d assurance, de capitalisation, de réassurance, d assistance et par les intermédiaires d assurance et qui répond aux conditions suivantes. Art. 2. Finalités des traitements. Le traitement peut avoir tout ou partie des finalités suivantes : effectuer les opérations relatives à la gestion des clients concernant : un programme de fidélité au sein d une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d enquêtes de satisfaction, ou le regroupement des contrats pour un même client au sein de l entreprise ou du groupe auquel appartient l entreprise, effectuer des opérations relatives à la prospection : a) La gestion d opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l enrichissement et la déduplication) ; b) La sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit ou services et de promotion. Ces opérations ne doivent pas conduire à l établissement de profils susceptibles de faire apparaître des données sensibles ;

c) La réalisation d opérations de sollicitations : l élaboration de statistiques commerciales ; la cession, la location ou l échange des données relatives à l identification des clients ou prospects pour améliorer le service au client en proposant des produits ou services permettant de réduire la sinistralité ou d offrir un contrat ou une prestation complémentaire ; l organisation de jeux-concours, de loteries ou de toute opération promotionnelle à l exclusion des jeux d argent et de hasard en ligne soumis à l agrément de l Autorité de régulation des jeux en ligne ; la gestion des demandes de droit d accès, de rectification et d opposition ; la gestion des avis des personnes sur des produits, services ou contenus. Art. 3. Les données traitées. Les données susceptibles d être traitées pour la réalisation des finalités décrites à l article 2 doivent relever seulement des catégories suivantes, pour autant qu elles soient nécessaires au respect des finalités du traitement et à l exclusion des données de santé : a) Les données relatives à l identification des personnes : identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l identification du client ou du prospect (ce code interne de traitement ne peut être le numéro d inscription au répertoire national d identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d un titre d identité). Une copie d un titre d identité peut être conservée aux fins de preuve de l exercice d un droit d accès, de rectification ou d opposition ou pour répondre à une obligation légale ; b) La situation familiale, économique, patrimoniale et financière et habitudes de vie en lien avec la relation commerciale : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d activité, présence d animaux domestiques, loisirs ; c) Les données relatives aux activités professionnelles et non professionnelles ayant un lien avec la relation commerciale ; d) Les données relatives au suivi de la relation commerciale : demandes de documentation ou de renseignements, demandes relatives aux produits, services ou abonnements proposés, montants, périodicité, adresses, les données relatives aux produits, contrats et services, origine de la vente (entité ou intermédiaire, vendeur, représentant, partenaire, affilié) ou de la demande, correspondances avec le client et service client, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client, remises consenties ou avantages client ; e) Les données de localisation et de connexion ; f) Les données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produits et services et de promotion ; g) Les données relatives à l organisation et au traitement des jeux-concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux-concours, la photographie ou l image de la personne, et la nature des lots offerts ; h) Les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme. Art. 4. Les destinataires et les personnes habilitées à traiter les données. Peuvent, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel : les personnes chargées du service marketing, du service commercial, des services chargés de traiter la relation client, les réclamations, et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ; les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) ; les sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (art. 35 de la loi du 6 janvier 1978 modifiée) ; Peuvent être destinataires des données : les partenaires, les sociétés extérieures ou les entités du groupe de sociétés dans les conditions prévues par l article 6 de la présente norme ; les auxiliaires de justice, les officiers ministériels et organismes publics habilités à les recevoir, les arbitres, les médiateurs. Art. 5. Durées de conservation. Concernant les données relatives à la gestion de clients et de prospects : Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

Toutefois, les données permettant d établir la preuve d un droit ou d un contrat, ou conservées au titre du respect d une obligation légale, peuvent être archivées conformément aux dispositions en vigueur (code des assurance, code de la mutualité, code de commerce, code civil, code de la sécurité sociale et code de la consommation). Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (c est-à-dire par exemple à compter de la date d expiration d un contrat, du dernier contact émanant du client). Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de renseignements ou de documentation, par exemple). Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation. Concernant les pièces d identité : En cas d exercice du droit d accès ou de rectification, les données relatives aux pièces d identité peuvent être conservées pendant le délai prévu à l article 9 du code de procédure pénale (soit un an). En cas d exercice du droit d opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l article 8 du code de procédure pénale (soit trois ans). Concernant la gestion des listes d opposition à recevoir de la prospection : Lorsqu une personne exerce son droit d opposition à recevoir de la prospection auprès d un responsable de traitement, les informations permettant de prendre en compte son droit d opposition doivent être conservées au minimum trois ans à compter de l exercice du droit d opposition. Ces données ne peuvent en aucun cas être utilisées à d autres fins que la gestion du droit d opposition. Concernant les statistiques de mesure d audience : Au sujet des statistiques de mesure d audience, les informations stockées dans le terminal des utilisateurs (exemple : cookies) ou tout autre élément utilisé pour identifier les utilisateurs et permettant la traçabilité des utilisateurs ne doivent pas être conservés au-delà de six mois. Les nouvelles visites ne doivent pas prolonger la durée de vie de ces informations. Les données de fréquentation brutes associant un identifiant ne doivent pas être conservées plus de six mois. Au-delà de ce délai, les données doivent être soit supprimées, soit anonymisées. Art. 6. L information, le consentement et l exercice du droit d opposition des personnes. Au moment de la collecte des données, la personne concernée est informée de l identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d un défaut de réponse, des destinataires des données, de l existence et des modalités d exercice de ses droits d accès, de rectification et d opposition au traitement de ses données. Il doit également être prévu : a) Le recueil du consentement exprès et spécifique de la personne concernée, dans les cas suivants : la prospection réalisée au moyen d un mode de communication électronique (courrier électronique, SMS ou MMS) hors produits ou services analogues ; la prospection réalisée au moyen d automates d appel ou de télécopieurs ; la mise à disposition ou la cession à des partenaires des adresses électroniques ou des numéros de téléphone utilisés à des fins de prospection par automate d appel, télécopie ou par envoi de SMS, MMS ; la collecte ou la cession des données susceptibles de faire apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes ; la collecte de la photographie ou de l image de la personne ; b) La possibilité de permettre à la personne concernée de s opposer de manière simple et dénuée d ambiguïté, dans les cas suivants : la prospection par voie postale ou téléphonique avec intervention humaine ; la prospection réalisée au moyen d un mode de communication électronique pour un produit ou service analogue ; la prospection entre professionnels (sauf en cas d utilisation d une adresse générique) lorsque l objet du message est en rapport avec l activité du professionnel ; la cession d adresse postale et de numéros de téléphone utilisés à des fins de prospection avec intervention humaine ;

la cession à des partenaires de données relatives à l identité (à l exclusion du code interne de traitement permettant l identification du client) ainsi que les informations relatives à la situation familiale, économique et financière visées à l article 3 (d), dès lors que les organismes destinataires s engagent à ne les exploiter que pour s adresser directement aux intéressés, pour des finalités exclusivement commerciales. Le consentement visé au a est une manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées pour certaines finalités. L acceptation des conditions générales d utilisation n est donc pas une modalité suffisante du recueil du consentement des personnes. La participation à un jeu-concours ou une loterie ne peut être conditionnée à la réception de prospection directe au moyen d un automate d appel, d un télécopieur ou d un courrier électronique de la part du responsable de traitement ou de ses partenaires. Dans le cas d une collecte via un formulaire, le droit d opposition ou le recueil du consentement préalable doit pouvoir s exprimer par un moyen simple et spécifique, tel qu une case à cocher. Les mentions d information et les modes d expression de l opposition ou du recueil du consentement doivent être lisibles, en langage clair et figurer sur les formulaires de collecte. Lorsque la collecte des données intervient par voie orale, l intéressé est mis en mesure d exercer son droit d opposition ou de donner son consentement avant la collecte de ses données. Après la collecte des données : la personne concernée a le droit de s opposer, sans frais, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d un traitement ultérieur ; les messages adressés à des fins de prospection directe, au moyen d automates d appel, télécopieurs et courriers électroniques, doivent mentionner des coordonnées permettant de demander à ne plus recevoir de telles sollicitations. Le responsable du traitement auprès duquel le droit d opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu il a rendu destinataire des données à caractère personnel qui font l objet de l opposition. Art. 7. L utilisation d un service de communication au public en ligne (site internet). La présente norme s applique également dans le cas où le responsable de traitement utilise un service de communication au public en ligne pour réaliser les finalités définies à l article 2. Des données de connexion (date, heure, adresse internet, protocole de l ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d audience et d assistance technique. Dans ce cas, le consentement préalable des personnes n est pas nécessaire, à condition qu ils disposent d une information claire et complète délivrée par l éditeur du site internet, d un droit d opposition, d un droit d accès aux données collectées et qu elles ne soient pas recoupées avec d autres traitements tels que les fichiers clients. L information relative à la finalité et aux droits des personnes peut être présente dans les courriers électroniques envoyés, sur la page d accueil du site, et dans ses conditions générales d utilisation, par exemple. Concernant l exercice du droit d opposition à l analyse de sa navigation, l outil permettant de désactiver la traçabilité mise en œuvre par l outil d analyse de fréquentation doit remplir les conditions suivantes : un accès et une installation aisés pour tous les internautes sur l ensemble des terminaux, des systèmes d exploitation et des navigateurs internet ; aucune information relative aux internautes ayant décidé d exercer leur droit d opposition ne doit être transmise à l éditeur de l outil d analyse de fréquentation. Par ailleurs, tout utilisateur d un service de communications électroniques doit être informé de manière claire et complète, sauf s il l a été au préalable, par le responsable du traitement ou son représentant : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; des moyens dont il dispose pour s y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu à condition que la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l accès aux informations stockées dans l équipement terminal de l utilisateur ou l inscription d informations dans l équipement terminal de l utilisateur : soit a pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ; soit est strictement nécessaire à la fourniture d un service de communication en ligne à la demande expresse de l utilisateur.

Art. 8. Mesures de sécurité. Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l article 3, notamment empêcher qu elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès. En particulier, les accès aux traitements de données doivent nécessiter une authentification des personnes accédant aux données, au moyen par exemple d un code d accès et d un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d authentification. Les conditions d administration du système d information prévoient l existence de systèmes automatiques de traçabilité (journaux, audits...). Dans le cas de l utilisation d un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données transitant sur des canaux de communication non sécurisés doivent notamment faire l objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée. Concernant les pièces d identité, celles-ci ne doivent être accessibles qu à un nombre de personnes restreint et des mesures de sécurité doivent être mises en œuvre afin d empêcher toute réutilisation détournée de ces données. Art. 9. Transfert de données vers l étranger. La présente norme simplifiée couvre les transferts de données mentionnées à l article 3 et collectées pour les finalités énumérées à l article 2, lorsqu une des conditions suivantes est réunie : les transferts s effectuent à destination d un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat ou d une entreprise américaine ayant adhéré au Safe Harbor ; ils sont encadrés par les clauses contractuelles types de la Commission européenne ou par des règles internes d entreprise (BCR Binding Corporate Rules) dont la CNIL a préalablement reconnu qu elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes ; ils correspondent à l une des exceptions prévues à l article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi les transferts répétitifs, massifs ou structurels de données personnelles ne sont pas couverts par la présente norme et ils doivent faire l objet de formalités préalables auprès de la CNIL dans les conditions prévues par ladite loi. Seules peuvent être transférées les données pertinentes au regard de la finalité poursuivie par le transfert. Art. 10. Exclusion du bénéfice de la norme simplifiée. Tout traitement non conforme aux dispositions de la présente délibération devra faire l objet d une déclaration normale auprès de la CNIL ou d une inscription à la liste des traitements établie par le correspondant à la protection des données à caractère personnel. Art. 11. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back